La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advierte que una vulnerabilidad de seguridad de alta gravedad en los firewalls de Palo Alto Networks se está explotando activamente en la naturaleza.
El error (CVE-2022-0028, con un puntaje de gravedad CVSS de 8.6), existe en el sistema operativo PAN-OS que ejecuta los firewalls y podría permitir que un actor de amenazas remoto abuse de los firewalls para implementar una denegación de servicio distribuida. (DDoS) contra objetivos de su elección, sin tener que autenticarse.
La explotación del problema puede ayudar a los atacantes a cubrir sus huellas y su ubicación.
"El ataque DoS parece originarse en un cortafuegos PA-Series (hardware), VM-Series (virtual) y CN-Series (contenedor) de Palo Alto Networks contra un objetivo especificado por el atacante", según el aviso emitido por Palo Alto Networks. a principios de este mes.
“La buena noticia es que esta vulnerabilidad no brinda a los atacantes acceso a la red interna de la víctima”, dice Phil Neray, vicepresidente de estrategia de ciberdefensa de CardinalOps. “La mala noticia es que puede detener operaciones críticas para el negocio [en otros objetivos], como tomar pedidos y manejar solicitudes de servicio al cliente”.
Él señala que los ataques DDoS no solo los montan actores molestos de poca monta, como a menudo se supone: "DDoS ha sido utilizado en el pasado por grupos adversarios como APT28 contra la Agencia Mundial Antidopaje".
El error surge gracias a una mala configuración de la política de filtrado de URL.
Las instancias que usan una configuración no estándar están en riesgo; para ser explotado, la configuración del firewall “debe tener un perfil de filtrado de URL con una o más categorías bloqueadas asignadas a una regla de seguridad con una zona de origen que tenga una interfaz de red orientada hacia el exterior”, el lectura de asesoramiento.
Explotado en la naturaleza
Dos semanas después de esa divulgación, CISA dijo que ahora ha visto que los adversarios cibernéticos han adoptado el error y lo ha agregado a su Catálogo de vulnerabilidades explotadas conocidas (KEV). Los atacantes pueden explotar la falla para implementar versiones reflejadas y amplificadas de inundaciones DoS.
Bud Broomhead, CEO de Viakoo, dice que los errores que se pueden combinar en el servicio para respaldar los ataques DDoS tienen cada vez más demanda.
“La capacidad de usar un firewall de Palo Alto Networks para realizar ataques reflejados y amplificados es parte de una tendencia general de usar la amplificación para crear ataques DDoS masivos”, dice. “El reciente anuncio de Google de un ataque que alcanzó un máximo de 46 millones de solicitudes por segundo y otros ataques DDoS que batieron récords pondrán más atención en los sistemas que pueden explotarse para permitir ese nivel de amplificación”.
La velocidad de armamento también se ajusta a la tendencia de que los atacantes cibernéticos tomen cada vez menos tiempo para poner en funcionamiento las vulnerabilidades recientemente reveladas, pero esto también apunta a un mayor interés en los errores de menor gravedad por parte de los actores de amenazas.
“Con demasiada frecuencia, nuestros investigadores ven que las organizaciones se mueven para parchear las vulnerabilidades de mayor gravedad primero en función del CVSS”, escribió Terry Olaes, director de ingeniería de ventas de Skybox Security, en un comunicado enviado por correo electrónico. “Los ciberdelincuentes saben que así es como muchas empresas manejan su ciberseguridad, por lo que han aprendido a aprovechar las vulnerabilidades consideradas menos críticas para llevar a cabo sus ataques”.
Pero priorización de parches sigue siendo un desafío para las organizaciones de todos los tipos y tamaños gracias a la gran cantidad de parches que se divulgan en un mes determinado; cientos de vulnerabilidades que los equipos de TI necesitan clasificar y evaluar, a menudo sin mucha orientación para seguir. Y además Skybox Research Lab encontrado recientemente que las nuevas vulnerabilidades que se explotaron en la naturaleza aumentaron un 24 % en 2022.
"Cualquier vulnerabilidad sobre la que CISA le advierta, si la tiene en su entorno, debe parchearla ahora", Roger Grimes, evangelista de defensa basada en datos en KnowBe4, le dice a Dark Reading. “El [KEV] enumera todas las vulnerabilidades que utilizó cualquier atacante del mundo real para atacar a cualquier objetivo del mundo real. Gran servicio. Y no solo está lleno de exploits de Windows o Google Chrome. Creo que la persona promedio en seguridad informática se sorprendería de lo que hay en la lista. Está repleto de dispositivos, parches de firmware, VPN, DVR y un montón de cosas que tradicionalmente no se consideran como objetivo de los piratas informáticos”.
Tiempo para parchear y monitorear para compromiso
Para el error de PAN-OS recientemente explotado, los parches están disponibles en las siguientes versiones:
- PAN-OS 8.1.23-h1
- PAN-OS 9.0.16-h3
- PAN-OS 9.1.14-h4
- PAN-OS 10.0.11-h1
- PAN-OS 10.1.6-h6
- PAN-OS 10.2.2-h2
- Y todas las versiones posteriores de PAN-OS para firewalls PA-Series, VM-Series y CN-Series.
Para determinar si el daño ya está hecho, "las organizaciones deben asegurarse de contar con soluciones capaces de cuantificar el impacto comercial de los riesgos cibernéticos en impacto económico", escribió Olaes.
Agregó: “Esto también les ayudará a identificar y priorizar las amenazas más críticas en función del tamaño del impacto financiero, entre otros análisis de riesgo, como las puntuaciones de riesgo basadas en la exposición. También deben mejorar la madurez de sus programas de gestión de vulnerabilidades para garantizar que puedan descubrir rápidamente si una vulnerabilidad los afecta o no y qué tan urgente es remediarlo”.
Grimes señala que también es una buena idea suscribirse a los correos electrónicos de KEV de CISA.
“Si se suscribe, recibirá al menos un correo electrónico a la semana, si no más, informándole cuáles son las últimas vulnerabilidades explotadas”, dice. “No es solo un problema de Palo Alto Networks. No por cualquier tramo de la imaginación."
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
